Es común escuchar la frase "enfocar la ciberseguridad al negocio", de hecho, si nos lees desde hace tiempo o has escuchado nuestros Podcast sabes que es algo que mencionamos constantemente.
¿A qué se refiere esta frase? ¿En qué consiste enfocar la ciberseguridad al negocio?
Si bien, podemos basarnos en los pilares de la seguridad, no siempre queda claro la forma de aplicarlos en una organización.
Es verdad que la empresa cuenta con mucha información, equipos, servidores, etc. pero te has preguntado, ¿Qué pasaría si...?
➥ ¿Qué pasaría si tu tienda en línea sufriera un ataque? - ¿Cuánto dinero perdería la empresa?
➥ ¿Qué pasaría si un servidor de archivos se daña? - ¿Cuánto dinero perdería la empresa?
➥ ¿Qué pasa si la base de datos del reloj checador se daña? - ¿Cuánto dinero perdería la empresa?
¿Te das cuenta de que no todos los activos tienen la misma criticidad?
En el párrafo anterior puse algunas preguntas sobre un servicio de comercio electrónico, un servidor de archivos y una base de datos del reloj checador, en este caso, el activo más importante es el de ecommerce, pues si se infecta con malware, si recibe un ataque DoS o es comprometido por un atacante dejándolo inoperable, la empresa pierde dinero, por lo tanto, deberíamos de preocuparnos por su seguridad.
¿Cómo aplicar la ciberseguridad para proteger el negocio?
Bien, ya sabemos que el servidor ecommerce en el ejemplo es lo más importante, ahora sigamos con las preguntas:
➥ ¿Si la página se encuentra abajo la empresa pierde dinero? ¡Claro!, entonces tendríamos que cubrir el pilar de la Disponibilidad ya que es crítica.
➥ ¿Si se modifican los datos del servicio la empresa pierde dinero? ¡Por supuesto!, imagina que las personas depositan dinero a otra cuenta o los precios no son correctos, entonces también deberías de cubrir la Integridad.
➥ ¿Si la información de las cuentas y pagos se filtra, la empresa perderá dinero?, claramente sí, la reputación de la empresa se va por los suelos, por lo que deberías también de cubrir la Confidencialidad.
Quizá te interese leer nuestro artículo: Reforzando la seguridad en servidores
Esto no sucedería con el servidor de archivos, probablemente no nos importe mucho la disponibilidad, pero sí la integridad y confidencialidad de la información que resguarda.
Para el caso de la base de datos del reloj checador, realmente no tendría mucha relevancia, ya que podría ser reemplazado temporalmente por registros manuales, y la afectación sería mínima mientras se restablece.
Tomando en cuenta esos puntos, claramente, deberíamos de pensar en proteger a la brevedad el servicio de ecommerce de nuestro ejemplo, es ahí donde se debería invertir el mayor porcentaje del presupuesto definido, ya que si eso falla, la empresa sufre y pierde.
¡Ojo! No significa que no debas proteger lo demás y lo debas dejar así, siempre deben de existir controles de seguridad. Tener claro cuál es la criticidad de cada uno de nuestros activos nos da la oportunidad de definir por dónde comenzar a aplicar esos controles y buscar las mejores opciones para cada uno.
Espero que con este ejemplo, quede un poco más claro a qué nos referimos con la tan sonada frase "Enfocarse en el negocio" y puedas generar una estrategia de ciberseguridad que logre cumplir con los objetivos de la organización, su misión y visión.
Enfocarte en el negocio, solo es comprender los engranajes clave que la empresa requiere para funcionar y protegerlos dependiendo su requerimiento, ya sea la Confidencialidad, la Integridad y/o la Disponibilidad, sólo quien conoce bien la operación del negocio podrá decirte dónde aplicar los ajustes.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.